Comment détecter et examiner les comptes d’utilisateur inactifs

Dans de grands environnements, les comptes d’utilisateur ne sont pas toujours supprimés quand les employés quittent une organisation. En tant qu’administrateur informatique, vous souhaitez détecter et résoudre ces comptes d’utilisateur obsolètes parce qu’ils constituent un risque pour la sécurité.

Cet article explique une méthode pour gérer les comptes d'utilisateurs obsolètes dans Microsoft Entra ID.

Remarque

Cet article s'applique uniquement à la recherche de comptes d'utilisateurs inactifs dans Microsoft Entra ID. Elle ne s’applique pas à la recherche de comptes inactifs dans Azure AD B2C.

Prérequis

Pour accéder à la propriété lastSignInDateTime à l’aide de Microsoft Graph :

  • Vous avez besoin d’une licence Microsoft Entra ID P1 ou P2.

  • Vous devez accorder à l’application les autorisations Microsoft Graph suivantes :

    • AuditLog.Read.All
    • User.Read.All
  • Le Lecteur de rapports est le rôle avec le moins de privilèges nécessaire pour accéder aux journaux d’activité.

Que sont les comptes d’utilisateur inactifs ?

Les comptes inactifs sont des comptes d’utilisateur qui ne sont plus requis par des membres de votre organisation pour accéder à vos ressources. Un indicateur clé pour des comptes inactifs est qu’ils n’ont pas été utilisés pendant un certain temps pour se connecter à votre environnement. Dans la mesure où les comptes inactifs sont liés à l’activité de connexion, pour détecter les comptes inactifs, vous pouvez vous servir de l’horodatage de la dernière tentative de connexion d’un compte.

Le défi de cette méthode consiste à définir à quoi correspond un certain temps pour votre environnement. Par exemple, il est possible que des utilisateurs puissent ne pas se connecter à un environnement pendant un certain temps parce qu’ils sont en congés. Lorsque vous définissez la valeur de votre delta pour les comptes d’utilisateur inactifs, vous devez prendre en compte toutes les raisons légitimes pour ne pas se connecter à votre environnement. Dans de nombreuses organisations, le delta pour les comptes d’utilisateur inactifs est compris entre 90 et 180 jours.

La dernière connexion fournit des informations potentielles sur le besoin constant d’un utilisateur d’accéder aux ressources. Elle contribue à déterminer si l’appartenance au groupe ou l’accès à l’application est toujours nécessaire ou peut être supprimé. Pour la gestion des utilisateurs externes, vous pouvez déterminer si un utilisateur externe est toujours actif dans le locataire ou s’il doit être nettoyé.

Détecter des comptes d’utilisateurs inactifs avec Microsoft Graph

Vous pouvez détecter les comptes inactifs en évaluant plusieurs propriétés, dont certaines sont disponibles sur le point de terminaison beta de l’API Microsoft Graph. Nous vous déconseillons d’utiliser les points de terminaison bêta en production, mais vous invitons à les essayer.

Propriété lastSignInDateTime exposée par le type de ressource signInActivity de l’API Microsoft Graph . La propriété lastSignInDateTime indique la dernière fois qu'un utilisateur a tenté d'effectuer une tentative de connexion interactive dans Microsoft Entra ID. À l’aide de cette propriété, vous pouvez implémenter une solution pour les scénarios suivants :

  • Date et heure de la dernière connexion pour tous les utilisateurs : dans ce scénario, vous devez générer un rapport de la date de dernière connexion de tous les utilisateurs. Vous demandez une liste de tous les utilisateurs, ainsi que la dernière valeur de lastSignInDateTime pour chaque utilisateur, respectivement :

    • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
  • Utilisateurs par nom : dans ce scénario, vous recherchez un utilisateur spécifique par son nom, ce qui vous permet d’évaluer la valeur lastSignInDateTime :

    • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
  • Utilisateurs par date : dans ce scénario, vous demandez une liste d’utilisateurs avec une valeur de lastSignInDateTime avant une date spécifiée :

    • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
  • Date et heure de la dernière connexion réussie (bêta): ce scénario est disponible uniquement sur le point de terminaison beta de l’API Microsoft Graph. Vous pouvez demander une liste d’utilisateurs avec un lastSuccessfulSignInDateTime avant une date spécifiée :

    • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Remarque

La propriété signInActivity prend en charge $filter (eq, ne, not, ge, le), mais pas avec d’autres propriétés filtrables. Vous devez spécifier $select=signInActivity ou $filter=signInActivity lors de la liste des utilisateurs, car la propriété signInActivity n’est pas retournée par défaut.

Considérations relatives à la propriété lastSignInDateTime

Les détails suivants concernent la propriété lastSignInDateTime.

  • La propriété lastSignInDateTime est exposée par le type de ressource signInActivity de l’API Microsoft Graph.

  • La propriété n’est pas disponible via l’applet de commande Get-MgAuditLogDirectoryAudit.

  • Chaque connexion interactive essayée aboutit à une mise à jour du magasin de données sous-jacent. En général, les connexions s’affichent dans le rapport de connexion associé dans un délai de 6 heures.

  • Pour générer un horodatage lastSignInDateTime, vous devez tenter une connexion. Une tentative de connexion, échouée ou réussie, à condition qu'elle soit enregistrée dans les journaux de connexion Microsoft Entra, génère un horodatage lastSignInDateTime. La valeur de la propriété lastSignInDateTime peut être vide si :

    • La dernière tentative de connexion d’un utilisateur a eu lieu avant avril 2020.
    • Le compte d’utilisateur concerné n’a jamais été utilisé pour une tentative de connexion.
  • La date de la dernière connexion est associée à l’objet utilisateur. La valeur est conservée jusqu’à la connexion suivante de l’utilisateur. La mise à jour peut prendre jusqu'à 24 heures.

Comment examiner un seul utilisateur dans le Centre d’administration Microsoft Entra

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

Si vous devez afficher la dernière activité de connexion d'un utilisateur, vous pouvez afficher les détails de connexion de l'utilisateur dans Microsoft Entra ID. Vous pouvez également utiliser le scénario utilisateurs par nom Microsoft Graph décrit dans la section précédente.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

  3. Sélectionnez un utilisateur dans la liste.

  4. Dans la zone Mon flux de la vue d’ensemble de l’utilisateur, recherchez la mosaïque Connexions.

    Capture d’écran de la page de vue d’ensemble de l’utilisateur avec la vignette d’activité de connexion mise en évidence.

L’affichage de la date et heure de la dernière connexion sur cette mosaïque peut prendre jusqu’à 24 heures, ce qui signifie qu’il est possible qu’il ne soit pas actuel. Si vous avez besoin de voir l’activité en quasi-temps réel, sélectionnez le lien Afficher toutes les connexions dans la mosaïque Connexions pour afficher toutes les activités de connexion de cet utilisateur.